Internet

Razotkrivena misterija sajber-špijunske kampanje „Turla“

„Epic“ operacija je samo prva faza infekcije kampanje Turla koja se sastoji iz više etapa

Turla, poznata i kao Snake ili Uroburos, jedna je od trenutno najsofisticiranijih sajber-špijunskih kampanja. Prvo objavljeno istraživanje ove kampanje nije dalo odgovor na najvažnije pitanje: kako dolazi do zaraze? Najnovije istraživanje ove operacije koje je sprovela kompanija Kaspersky Lab otkriva da je „Epic“ početna etapa u mehanizmu zaraze kampanje Turla.

Projekat „Epic“ otpočeo je barem od 2012. godine, a najaktivniji je bio u periodu januar–februar 2014. Nedavno, kompanija Kaspersky Lab detektovala je napad na jednog od svojih korisnika, 5. avgusta 2014.

Žrtve. Mete projekta „Epic“ pripadaju sledećim kategorijama: vladine organizacije (Ministarstvo unutrašnjih poslova, Ministarstvo trgovine, Ministarstvo spoljnih poslova, obaveštajne agencije), ambasade, vojska, istraživačke i obrazovne institucije i farmaceutske kompanije.

 

Većina žrtava nalazi se na Bliskom istoku i u Evropi, međutim, istraživači su pratili i žrtve iz drugih regiona, uključujući i SAD. Sveukupno, eksperti kompanije Kaspersky Lab primetili su nekoliko stotina IP adresa žrtava u više od 45 zemalja, sa Francuskom na vrhu liste.

Napad. Istraživači kompanije Kaspersky Lab otkrili su da napadači koji su deo projekta  Epic Turla zaraze žrtve tako što koriste zero-day exploitove, društveni inženjering i watering hole tehnike (napadači malverom inficiraju sajtove koji su predmet interesovanja žrtava). Na primer, kompanija Kaspersky Lab ukupno je posmatrala više od 100 zaraženih sajtova (watering holes). Izbor sajtova odaje specifičan interes napadača. Na primer, veliki broj inficiranih španskih sajtova pripada lokalnim samoupravama.

Kad god neoprezni korisnik otvori zloćudni PDF fajl na ranjivom sistemu, mašina će automatski biti zaražena, omogućujući napadaču da stekne momentalnu i potpunu kontrolu nad ciljanim sistemom.

Istog momenta kada se korisnik zarazi, backdoor verzija Epic virusa povezuje se sa komandno-kontrolnim (C&C) serverom kom šalje paket sa sistemskim informacijama žrtve. Kada je sistem ugrožen, napadači primaju kratak rezime informacija od žrtve i, na osnovu njega, šalju batch fajlove koji sadrže niz komandi za izvršavanje. Pored toga, napadači uploaduju prilagođene alate lateralnog pokretanja, koji uključuju specifičan keylogger alat, RAR arhiver i standardne utility programe kao što je Majkrosoftov DNS query alat.

Prva faza kampanje Turla. Tokom analize, istraživači kompanije Kaspersky Lab posmatrali su napadače koji koriste Epic malver da primene sofisticiraniji backdoor poznat kao „Cobra/Carbon sistem”, koji neki anti-virus proizvodi nazivaju i „Pfinet”. Posle određenog vremena, napadači su otišli korak dalje i iskoristili Epic za ažuriranje „Carbon“ konfiguracijskog fajla drugačijim setom C&C servera. Jedinstveno znanje potrebno da bi se koristila ova dva backdoora pokazuje jasnu i direktnu vezu između njih.

„Konfiguracijska ažuriranja za „Carbon sistem“ sistemski malver su interesantna jer je ovo još jedan projekat Turla kampanje. Ovo ukazuje na to da imamo posla sa infekcijom iz više etapa koja počinje etapom  Epic Turla. Epic Turla se koristi da bi se steklo uporište i potvrdila žrtva visokog profila. Ako je žrtva zanimljiva, dolazi do nadogradnje na kompletan Turla Carbon sistem“, objašnjava Costin Raiu, direktor globalnog istraživanja i tima za analitiku kompanije Kaspersky Lab.

Šira slika kampanje Turla:

  • Epic Turla/Tavdig: mehanizam rane faze infekcije.
  • Cobra Carbon sistem/Pfinet (i drugi): posrednički upgradeovi i komunikacijski pluginovi.
  • Snake/Uroburos: kompleksna malverska platforma koja uključuje rootkit i virtualne sistemske fajlove.

Upotreba jezika. Jasno je da napadači koji stoje iza kampanje Turla nisu izvorni govornici engleskog jezika. Postoje nagoveštaji o poreklu napadača. Na primer, neki od backdoorova su sastavljeni na sistemu sa ruskim jezikom. Dodatno, interno ime jednog od backdoorova faze Epic je „Zagruzchik.dll“ što na ruskom znači „bootloader“ ili „učitavanje programa“. Na kraju, matični kontrolni panel zaraze Epic podešava kodnu stranicu na 1251, koja se koristi za ćirilične karaktere.

Veze sa ostalim pretnjama.  Razmatrane su moguće konekcije sa različitim sajber-špijunskim kampanjama . U februaru 2014. godine, eksperti kompanije Kaspersky Lab primetili su da je napadač poznat kao Miniduke inficirao web servere na isti način kao što su to radili napadači iz projekta Epic.

Leave a Reply